La Unit 42 de Palo Ato Networks identificó a un nuevo grupo de Amenaza Persistente Avanzada (APT) patrocinado por China: Phantom Taurus. Se trata de un colectivo que recopila información a largo plazo contra objetivos de alto valor.
De acuerdo con los reportes el objetivo es la obtención de información confidencial y no pública. Hasta el momento se identificó que ataca a entidades gubernamentales y proveedores de servicios públicos de Medio Oriente, África y Asia.
TAMBIÉN LEE: Llave MX protagoniza debate sobre ciberseguridad en el 2.º Foro Nacional de Ciberseguridad
Phantom Taurus, la nueva amenaza digital china
Los especialistas identificaron que los objetivos que hasta el momento son las víctimas de esta herramienta coinciden con enemigos geopolíticos de la República Popular de China. Su interés se identifica en las comunicaciones diplomáticas y la inteligencia relacionada con la defensa.
El grupo de Palo Alto Networks indicó que esta APT tiene un modus operandi peculiar. A través de él combinan avanzadas prácticas operativas. Entre sus capacidades encontraron:
- Implante VB en la memoria
- Familia de malware Specter
- Paquete de malware NET-STAR
- Robo de credenciales a través del proveedor de red
- Agente Racoon
- China Chopper
- Impacket
- Ghüst RAT
- Exfiltración de Shell de administración de Exchange
- Potato Suite
- Ladon Samba
- SMBCliente
Lo que hace peligroso a Phantom Taurus, según la investigación, es que emplea tácticas únicas y un arsenal personalizado de malware previamente no documentado.
TAMBIÉN LEE: La ciberseguridad se convierte en la prioridad de las Pymes en México
Mientras otras ATP se les descubre se retiran durante semanas o meses, pero Phantom Taurus se reagrupa y vuelve a ingresar a las redes objetivo en cuestión de horas o días. Su misión es tan crítica que están dispuestos a arriesgarse a la exposición para mantener el acceso.
Ante la posibilidad de un resultado de vulnerabilidad o de un problema urgente, Palo Alto Networks pidió a los afectados a ponerse en contacto con la Unit 42.
